Inhalt
- Einführung
- Zusammenfassung der zum Konfigurieren eines Remotedesktop-Gateways Windows Server 2016 erforderlichen Schritte
- Detaillierte Schritte zum Konfigurieren eines Remotedesktop-Gateways Windows Server 2016
- Hinzufügen der Rolle "Remotedesktopdienste"
- Hinzufügen der Remotedesktop-Gateway-Dienstrolle
- Erstellen Sie die Verbindungsautorisierungsrichtlinie und die Ressourcenautorisierungsrichtlinie
- Erstellen Sie Autorisierungsrichtlinien für RD Gateway
- Verbindungsautorisierungsrichtlinie
- Erstellen Sie eine Ressourcenautorisierungsrichtlinie
- SSL-Zertifikat
- Testen des Remotedesktop-Gateway-Servers kann auf Netzwerkressourcen zugreifen
- Firewall konfigurieren
- Konfigurieren des Remotedesktopclients mit den Remotedesktop-Gateway-Einstellungen
- Zusammenfassung
- In Verbindung stehender Artikel
Erfahrener Systemadministrator / Ingenieur mit mehr als 10 Jahren Erfahrung in der Verwaltung von Serverinfrastrukturen und Rechenzentrumsbetrieben.
Einführung
In diesem Lernprogramm werden die Schritte zum Implementieren eines Remotedesktop-Gateways auf einem Windows Server 2016-Server beschrieben. Ein Remotedesktop-Gateway wird häufig verwendet, um Remotedesktop-Clients die Verbindung vom Internet zu Servern hinter dem Remotedesktop-Gateway im Unternehmensnetzwerk zu ermöglichen. Das Remotedesktop-Gateway verhält sich wie ein "Jumphost", außer dass es niemals die Remotedesktopverbindungen des Benutzers hostet. Es wird überprüft, ob ein Benutzer zu einer Gruppe gehört, in der eine Remote-Verbindung hergestellt werden darf, und es wird geprüft, ob ein Benutzer eine Remote-Verbindung zum Zielserver herstellen darf, bevor die Sitzung zum Zielserver zugelassen wird.
Zusammenfassung der zum Konfigurieren eines Remotedesktop-Gateways Windows Server 2016 erforderlichen Schritte
Im Folgenden finden Sie eine Zusammenfassung der Schritte, die zum Konfigurieren eines Remotedesktop-Gateways unter Windows Server 2016 erforderlich sind. Verwenden Sie es als Checkliste, um sicherzustellen, dass alles abgedeckt ist.
- Verbinden Sie den Windows 2016-Server mit der Active Directory-Domäne.
- Ergänzen Sie die Remotedesktopdienste Rolle.
- Ein ... kreieren Verbindungsautorisierungsrichtlinie. Diese Richtlinie gibt an, welche Gruppen darauf zugreifen dürfen Remotedesktop-Gateway.
- Ein ... kreieren Ressourcenautorisierungsrichtlinie. Diese Richtlinie gibt an, auf welche Server von welchen Gruppen zugegriffen werden darf.
- Kauf eines SSL-Zertifikat von einer öffentlichen Zertifizierungsstelle. (Sie können im Internet suchen, wo Sie diese kaufen können. Keine kostenlose Werbung auf diesem SPACE)
- Wende an SSL-Zertifikat zum Remotedesktop-Gateway.
- Akzeptieren Sie den Standard-TCP-Port des Remotedesktop-Gateways von 443 oder ändern Sie es in eine andere Portnummer.
- Testen Sie die Remotedesktopverbindung zu einem Server hinter dem Remotedesktop-Gateway DIREKT vom Remotedesktop-Gateway-Server. Damit soll sichergestellt werden, dass vom Remotedesktop-Gateway aus eine Verbindung zu den Servern besteht, zu denen Clients eine Verbindung herstellen müssen.
- Ändern Sie die Firewall-Regeln, um den Remotedesktop-Gateway-Port für den Remotedesktop-Gateway-Server zuzulassen.
- Testen Sie die Remotedesktopverbindung über das Internet zu einem Server hinter dem Remotedesktop-Gateway. Sie müssen den Remotedesktop-Client mit der Remotedesktop-Gateway-Adresse und der Portnummer konfigurieren. HINWEIS: Ältere Versionen von Remotedesktopverbindung, die mit Windows 7 und Windows 2008R2 geliefert wurden, verfügen über Einstellungen für ein Remotedesktop-Gateway, funktionieren jedoch nicht. Es wird empfohlen, die neueste Version von Remotedesktopverbindung herunterzuladen, um sie zu verwenden.
Sie können folgen, um zu erfahren, wie Sie einen Remotedesktopverbindungsclient für die Verwendung eines Remotedesktop-Gateways konfigurieren
Detaillierte Schritte zum Konfigurieren eines Remotedesktop-Gateways Windows Server 2016
Das folgende Lernprogramm zeigt ausführlich, wie Sie ein Remotedesktop-Gateway unter Windows Server 2016 konfigurieren.
Hinzufügen der Rolle "Remotedesktopdienste"
Öffnen Sie den Server Manager und klicken Sie auf Fügen Sie Rollen und Funktionen hinzu.
Wählen Remotedesktop-Gateway und klicken Sie auf Weiter. Ein Fenster wird geöffnet, wenn wir wollen Fügen Sie Funktionen hinzu, die für Remotedesktop-Gateway erforderlich sind. Klicke auf Funktionen hinzufügen. Klicken Nächster. Klicken Nächster zum Installieren der Netzwerkrichtlinie und der Zugriffsdienste. Klicken Nächster zum Hinzufügen der Webserverrolle (IIS). Akzeptieren Sie die Standardauswahl für die Webserver-Rollendienste und klicken Sie auf Nächster. Klicken Installieren. Installation erfolgreich. Öffnen Sie den Remotedesktop-Gateway-Manager. Dies erfolgt über das Menü Extras im Server-Manager. Navigieren Sie im linken Bereich zu Richtlinien, klicke auf Verbindungsautorisierungsrichtlinien. Auf der Aktionen Bereich rechts, Rechtsklick Neue Richtlinie erstellenund auswählen Magier. Wählen Erstellen Sie eine RD-GAP und eine RD-RAP (empfohlen) und klicken Sie auf Nächster. Die Verbindungsautorisierungsrichtlinie stellt sicher, dass nur ausgewählte Gruppen (d. H. Gruppenmitglieder) das Remotedesktop-Gateway verwenden dürfen, um auf Ressourcen hinter dem Remotedesktop-Gateway zuzugreifen. Sie können Gruppen verwenden, die auf Active Directory-Benutzern basieren, oder Gruppen, die auf Active Directory-Computerobjekten basieren. Um Flexibilität hinsichtlich der Maschinen zu bieten, von denen Benutzer Remotedesktop verwenden können, empfehle ich die Verwendung von Benutzergruppen. Geben Sie der Richtlinie einen Namen. Ein intuitiver Name ist Zulässiges RDGateway, klicken Nächster. Klicken Gruppe hinzufügen. Für die Zwecke dieses Tutorials werde ich die auswählen Domain-Administratoren Gruppe. Normalerweise würden Sie erstellen eine andere Benutzergruppe Hiermit fügen Sie Benutzer hinzu, denen Sie die Verwendung des Remotedesktop-Gateways erlauben möchten. Sie können Gruppen basierend auf den Ressourcen erstellen, auf die die Benutzer zugreifen müssen. Auf diese Weise können Sie diese Gruppen hier hinzufügen und diese Gruppen später in der Ressourcenautorisierungsrichtlinie verwenden. Wir verwenden die Mitgliedschaft in der Client-Computergruppe nicht. Mit dieser Option können Sie eine Verbindung basierend auf Computern zulassen, von denen aus Clients eine Verbindung herstellen. Diese Computer müssen einer Domäne beigetreten sein, und diese Domäne hängt in gewisser Weise mit der Domäne zusammen, zu der das Remotedesktop-Gateway gehört. Klicken Nächster. Übernehmen Sie die Standardeinstellung für die Geräteumleitung und klicken Sie auf Weiter. Geben Sie die Zeitüberschreitungswerte wie unten angegeben ein. Weiter klicken. Weiter klicken. Die Ressourcenautorisierungsrichtlinie wird verwendet, um den Zugriff auf Server basierend auf Gruppenmitgliedschaften zu beschränken. Sie müssen Active Directory-Gruppen erstellen und Server als Mitglieder dieser Gruppen hinzufügen. Im Idealfall werden diese Gruppen basierend auf der Funktionalität oder nach Abteilungsbesitz erstellt. Diese Servergruppen sind die Netzwerkressourcen, die Benutzergruppen zugewiesen werden müssen, damit die Benutzer darauf zugreifen können. Sie können mehrere Ressourcenautorisierungsrichtlinien erstellen, um bestimmten Benutzern granular den Zugriff auf bestimmte Server zuzuweisen. Wählen Sie Benutzergruppen aus, die Zugriff auf Netzwerkressourcen haben, d. H. Remotedesktop zu Servern im Netzwerk. In diesem Lernprogramm wähle ich die Gruppe "Domänenadministratoren" aus, da ich bereits "Domänenadministratoren" als Gruppe ausgewählt habe, die das Remotedesktop-Gateway verwenden kann. Klicken Sie dann auf Weiter. Wählen Sie eine Gruppe aus, die die Server enthält, auf denen die oben genannten Benutzergruppen Remotedesktop verwenden können. Klicken Sie auf Durchsuchen. Für dieses Tutorial verwenden wir die integrierte Gruppe namens Domänencontroller. Sie können zusätzliche Gruppen erstellen, die Server enthalten, die mit bestimmten Abteilungen verbunden sind oder zu diesen gehören. Auf diese Weise können Sie in den vorherigen Schritten Gruppen basierend auf Abteilungsbenutzern zuweisen und ihnen nur den Zugriff auf bestimmte Server erlauben. Klicken Sie auf Name überprüfen, um sicherzustellen, dass die Gruppe gefunden wurde, und klicken Sie dann auf OK. Weiter klicken. Wenn der Remotedesktopport auf den Servern vom Standard geändert wurde, verwenden Sie diesen Bildschirm, um den Port anzugeben. Andernfalls wählen Sie Nur Verbindungen zu Port 3389 zulassen. Klicken Sie auf Weiter. Klicken Sie auf Fertig stellen. Klicken Sie auf Schließen. Auf dem Remotedesktop-Gateway muss ein SSL-Zertifikat installiert sein. Sie können ein SSL-Zertifikat für den vollständig qualifizierten Internetdomänennamen des Remotedesktop-Gateways oder ein Platzhalter-SSL-Zertifikat für die Domäne erwerben. Um das SSL-Zertifikat zu installieren, klicken Sie zunächst in der Verwaltungskonsole des Remotedesktop-Gateways auf den Namen des Remotedesktopservers. Wenn Sie das SSL-Zertifikat gekauft und erhalten haben, kopieren Sie es an einen beliebigen Speicherort auf dem Server. Wählen Importieren Sie ein Zertifikat in das RD-Gateway und navigieren Sie zum Zertifikat, um es zu importieren. Ich habe für dieses Lernprogramm kein SSL-Zertifikat gekauft, daher verwende ich ein selbstsigniertes Zertifikat. Dadurch kann das Remotedesktop-Gateway von einigen Clients aus verwendet werden, z. B. vom Microsoft-Remotedesktop für Mac. Beim Versuch, eine Verbindung herzustellen, wird jedoch eine Warnung zum Zertifikat angezeigt. Wir können uns dafür entscheiden, danach fortzufahren. Es funktioniert jedoch nicht mit der neuesten Windows-Version des Remotedesktopverbindungsclients (es gibt eine Problemumgehung zum Testen). Sie MUSS verwenden ein vertrauenswürdiges SSL-Zertifikat Dies bedeutet, dass Sie ein öffentliches SSL-Zertifikat erwerben. Es ist möglich, eine eigene PKI-Infrastruktur in Ihrer Active Directory-Domäne einzurichten und ein eigenes SSL-Zertifikat zuzuweisen. Wenn der Clientcomputer Teil der Domäne ist, sollte er der Zertifizierungsstelle Ihrer Domäne vertrauen. Remotedesktop-Gateway-Umgebungen werden jedoch häufig verwendet, um externen Auftragnehmern mit eigenen Laptops die Verwendung der Netzwerkressourcen zu ermöglichen. Daher ist es am besten, ein SSL von einer vertrauenswürdigen Stammautorität zu verwenden. Für dieses Tutorial erstellen wir ein selbstsigniertes Zertifikat, indem wir auf klicken Zertifikat erstellen und importieren . Geben Sie den FQDN-Internetnamen dieses Remotedesktop-Gateways als Zertifikatsnamen ein, z. rdgateway.yourdomain.com. Für dieses Tutorial verwende ich die Internet-IP-Adresse, die diesem Server zugeordnet wird. Wir haben jetzt erfolgreich ein selbstsigniertes SSL-Zertifikat auf TCP-Port 443 (Standard-SSL-Port) installiert. Wir können den SSL-Port für das Remotedesktop-Gateway in eine andere Portnummer ändern. Dies wird manchmal von Unternehmen durchgeführt, um Hacker auszutricksen, die möglicherweise auf Port 443 abzielen, da dies der Standard-SSL-Port ist. Um die SSL-Portnummer für das RD-Gateway zu ändern, klicken Sie mit der rechten Maustaste auf den Servernamen und wählen Sie Eigenschaften in der Remotedesktop-Gateway-Verwaltungskonsole aus. Wir werden den Port in 4430 ändern. Wir werden diesen Port in unserem Tutorial verwenden, damit Sie verstehen, wie Sie eine andere Portnummer im Remotedesktop-Client konfigurieren. Wir müssen die Konnektivität vom Remotedesktop-Gateway zu den Netzwerkressourcen testen, zu denen Clients eine Verbindung herstellen müssen. Insbesondere müssen wir den RDP-Verkehr testen, indem wir einen Remotedesktop-Client verwenden, um eine Verbindung zu den zulässigen Servern herzustellen. Wir haben zugelassen, dass die Domänenadministratorengruppe über das Remotedesktop-Gateway auf die Domänencontroller zugreifen kann, und wir haben der Domänenadministratorgruppe gestattet, das Remotedesktop-Gateway mithilfe der Autorisierungsrichtlinien zu verwenden. Wir werden nun die Verbindung zu den Domänencontrollern über das Remotedesktop-Gateway testen. Wir haben bestätigt, dass wir die Domänencontroller über das Remotedesktop-Gateway erreichen können. Jetzt müssen wir sicherstellen, dass externe Clients das Remotedesktop-Gateway erreichen können. Da wir über das Internet eine Verbindung zum Remotedesktop-Gateway herstellen, müssen wir die Firewall ändern, um den Zugriff auf den Remotedesktop-Gateway-Port zu ermöglichen. In den vorherigen Schritten hatten wir den TCP-Port für das Remotedesktop-Gateway in 4430 geändert. Dies bedeutet, dass der TCP-Port 4430 in der Firewall eingehend und der Zielport 4430 im Remotedesktop-Gateway eingehen muss. Wenn wir den Standardport 443 verwendet hätten, müssten wir stattdessen den TCP-Port 443 zulassen. Denken Sie beim Konfigurieren eines Remotedesktop-Clients, der das Remotedesktop-Gateway unterstützt und eine Verbindung über das Remotedesktop-Gateway herstellt, immer daran, dass die Computer Der Name des Servers, zu dem Sie eine Verbindung herstellen möchten, ist der lokaler Servername das kann vom Remotedesktop-Gateway gelöst werden. Beim Betreten der Remotedesktop-Gateway Details im Client müssen Sie den Port angeben, wenn Sie nicht den Standard-SSL-Port 443 verwenden. In unserem Fall müssen wir eingeben rdgateway.yourdomain.com:4430 als Remotedesktop-Gateway-Server. Wenn wir den Standardport verwenden, müssen wir nur den vollqualifizierten Domänennamen ohne die Portnummer eingeben, z. rdgateway.yourdomain.com . Damit sind die Schritte zum Einrichten des Remotedesktop-Gateways für Windows Server 2016 abgeschlossen. Sie können jetzt einen Remotedesktop-Client für die Verbindung über das Remotedesktop-Gateway konfigurieren. ANMERKUNG: Stellen Sie sicher, dass Sie die neueste Version des Remotedesktop-Clients verwenden, da ich gesehen habe, dass eine frühere Version mit Windows 7 keine Verbindung herstellen kann, obwohl Einstellungen für ein Remotedesktop-Gateway vorhanden sind. Ich werde einen Folgeartikel darüber schreiben, wie ein Remotedesktop-Client für die Verwendung des Remotedesktop-Gateways konfiguriert wird. Dieser Artikel ist genau und nach bestem Wissen des Autors. Der Inhalt dient nur zu Informations- oder Unterhaltungszwecken und ersetzt nicht die persönliche Beratung oder professionelle Beratung in geschäftlichen, finanziellen, rechtlichen oder technischen Angelegenheiten.Hinzufügen der Remotedesktop-Gateway-Dienstrolle
Erstellen Sie die Verbindungsautorisierungsrichtlinie und die Ressourcenautorisierungsrichtlinie
Erstellen Sie Autorisierungsrichtlinien für RD Gateway
Verbindungsautorisierungsrichtlinie
Erstellen Sie eine Ressourcenautorisierungsrichtlinie
SSL-Zertifikat
Testen des Remotedesktop-Gateway-Servers kann auf Netzwerkressourcen zugreifen
Firewall konfigurieren
Konfigurieren des Remotedesktopclients mit den Remotedesktop-Gateway-Einstellungen
Zusammenfassung
In Verbindung stehender Artikel
Dieses Lernprogramm zeigt, wie Remotedesktopdienste in Windows Server 2016 installiert werden. Es kann jedoch auf Windows 2012 oder Windows 2012R2 angewendet werden. Die Schritte basieren auf einem Szenario, in dem derzeit keine Remotedesktopdienste für Windows 2012 oder l vorhanden sind